Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Перед распространением подписанного приложения пользователями необходимо протестировать подпись приложения с помощью Smart App Control. Так как smart App Control оценивает двоичные файлы по мере их загрузки, обязательно проверьте все пути кода и функции приложения. Это включает тестирование всех двоичных файлов установки и удаления, всех функций приложения и всех интеграций с другими приложениями, которые могут загружать ваши двоичные файлы (например, надстройки Office). Вы можете протестировать Smart App Control, используя политики аудита, которые создадут записи в журнале без фактической блокировки выполнения вашего приложения, или протестировать его непосредственно в режиме принудительного контроля Smart App Control.
Настройка управления смарт-приложениями для тестирования
Вы можете настроить интеллектуальный элемент управления приложениями в приложении параметров Windows или вручную изменить реестр Windows.
Настройка интеллектуального управления приложениями с помощью параметров Windows
Перейдите к настройкам>конфиденциальности и безопасности>Безопасности Windows>Управление приложениями и браузером>настройки управления Smart-приложениями.
Замечание
Настройка интеллектуального управления приложениями для off или On (принудительное применение) — это односторонняя операция. Это означает, что нельзя изменять режимы с помощью настроек Windows, если текущий параметр — оценка . В целях тестирования вы можете принудительно перевести Smart App Control в другой режим с помощью реестра.
Если smart App Control находится в режиме оценки, smart App Control будет оценивать подпись вашего приложения, но не будет блокировать приложение, если его подпись недопустима. В этом режиме можно использовать политики аудита для просмотра результатов Smart App Control, в том числе ошибок, возникающих при проверке подписи вашего приложения.
Выберите В, чтобы включить интеллектуальное управление приложениями в режим принудительного применения. В этом режиме smart App Control не позволит приложению работать, если его подпись недопустима.
Настройка интеллектуального управления приложениями с помощью реестра
Это важно
Интеллектуальное управление приложениями можно настроить вручную через реестр только для тестирования. Изменение параметров интеллектуального управления приложениями таким образом может скомпрометировать предоставляемую защиту.
Настройка интеллектуального управления приложениями с помощью реестра Windows позволяет принудительно применить любой нужный режим принудительного применения, даже если этот режим нельзя выбрать с помощью параметров Windows. Чтобы настроить интеллектуальный элемент управления приложениями, выполните приведенные действия.
Откройте командную строку с правами администратора и выполните следующие команды:
manage-bde -protectors c: -disable -rebootcount 2 "C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -DynamicSignaturesЗамечание
Возможно, потребуется обновить вторую команду, если системный диск не является C:.
Перезагрузитесь в меню загрузки, открыв Настройки и выбрав Параметры восстановления>Параметры восстановления>Дополнительные параметры загрузки>Перезагрузить сейчас.
В меню расширенной загрузки выберите Устранение неполадок>Расширенные>Командная строка. Откроется командная строка восстановления.
Замечание
Командная строка восстановления открывает диск восстановления X: по умолчанию. Это не означает, что системный диск изменился. Системный диск по-прежнему связан со своей обычной буквой диска (обычно C:).
Выполните следующие команды:
Замечание
В следующих командах замените {VALUE} значением заданного режима.
Ценность Режим 0 Выключено 1 Включено (принудительное исполнение) 2 Оценка reg load HKLM\sac c:\windows\system32\config\system reg add hklm\sac\controlset001\control\ci\policy /v VerifiedAndReputablePolicyState /t REG_DWORD /d {VALUE} /f reg add hklm\sac\controlset001\control\ci\protected /v VerifiedAndReputablePolicyStateMinValueSeen /t REG_DWORD /d {VALUE} /f reg unload hklm\sac reg load HKLM\sac2 C:\windows\system32\config\SOFTWARE reg add "hklm\sac2\Microsoft\Windows Defender" /v SacLearningModeSwitch /t REG_DWORD /d 0 reg unload hklm\sac2Перезапустите компьютер.
Проверка текущего режима управления смарт-приложениями
Вы можете проверить текущий режим smart App Control, открыв командную строку и выполнив следующую команду:
citool.exe -lp
Интеллектуальный контроль приложениями находится в режиме оценки, если значение дружественного имени — VerifiedAndReputableDesktopEvaluation, а значение "в настоящее время применяется" — true.
Интеллектуальное управление приложениями находится в режиме принудительного применения, если значение дружественного имени равно VerifiedAndReputableDesktop, а значение в настоящее время выполняется — true.
Настройка политики аудита Smart App Control
Политика управления приложениями в Защитнике Windows (WDAC), используемая Умным контролем приложений в режиме оценки, не регистрирует события аудита в оперативном журнале CodeIntegrity. Это позволяет уменьшить размер журнала на типичных потребительских устройствах, поставляемых с Smart App Control в тестовом режиме.
В целях оценки приложений с помощью smart App Control разработчик или системный администратор могут включить журналы аудита в режиме оценки, чтобы узнать, какие файлы будут заблокированы, если система находилась в режиме принудительного применения.
Замечание
Политики аудита применяются только в том случае, если smart App Control работает в режиме оценки. В режиме принудительного применения Smart App Control будет записывать события по умолчанию.
Zip-файл, содержащий две примеры политик ниже, можно скачать здесь.
Замечание
Вы также можете создать собственные политики. Дополнительные сведения см. в разделе примеры базовых политик управления приложениями в Защитнике Windows (WDAC) и создание политики WDAC для легко управляемых устройств.
Политика аудита интеллектуального управления приложениями (SmartAppControlAudit.bin)
Это стандартная политика интеллектуального управления приложениями, с журналами аудита, включенными в режиме оценки. Все двоичные файлы и скрипты, разрешенные сигнатурой и репутацией облака, будут передавать политику так же, как и в случае включения режима принудительного применения. Приложения и двоичные файлы, которые будут заблокированы, регистрируют событие аудита.
Замечание
Эта политика работает только с Smart App Control в режиме оценки. Система оценки Smart App Control может по-прежнему отключать режим оценки при применении этой политики; поэтому мы рекомендуем тестировать с помощью одного из методов, приведенных ниже.
При применении этой политики в выходных данных для citool.exe -lp будет показано VerifiedAndReputableDesktopEvaluationAudit в качестве имени политики.
Примените политику аудита Smart App Control
Во-первых, убедитесь, что SAC находится в режиме оценки.
Возьмите на себя ответственность за файл C:\WINDOWS\System32\CodeIntegrity\CiPolicies\Active\{1283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cip политики режима оценки с помощью takeown.exe. Если вы не можете использовать takeown, вы можете вручную взять на себя владение, выполнив следующие действия.
Это важно
Мы настоятельно рекомендуем использовать команду takeown, если возможно.
- Щелкните правой кнопкой мыши файл в обозревателе и выберите пункт "Свойства".
- Перейдите на вкладку "Безопасность" и выберите "Дополнительно" внизу.
- Нажмите кнопку "Изменить" в диалоговом окне.
- В диалоговом окне всплывающего окна введите сведения о пользователе (например
<PC name>\<username>, ) и нажмите кнопку "ОК". - Нажмите кнопку "ОК" в диалоговом окне "Дополнительные параметры безопасности" и подтвердите.
- Откройте вкладку "Безопасность файла" и нажмите кнопку "Изменить".
- В разделе "Администраторы" установите все флажки и нажмите кнопку "ОК" и снова подтвердите его в диалоговом окне всплывающего окна.
Теперь, когда у вас есть право на файл политики, переименуйте его {1283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cip.oldв . Переименуйте файл аудита политики, который вы хотите применить к {1283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cip, и скопируйте его в директорию политики.
Запустите citool.exe -r из командной строки администратора, чтобы обновить политику.
Политика аудита интеллектуального управления приложениями без ISG (SmartAppControlAuditNoISG.bin)
Это рекомендуемая политика для тестирования собственных приложений в качестве разработчика.
Эта политика проверяет двоичные файлы и скрипты в режиме оценки в системе Smart App Control без проверки Интеллектуального графа безопасности, что означает разрешение только тех приложений, которые правильно подписаны доверенным сертификатом, без событий аудита. Так как репутация может быть недоступна для недавно опубликованных двоичных файлов и может измениться с течением времени, гарантируя правильность подписи всех двоичных файлов, это лучший способ убедиться, что пользователи не сталкиваются с проблемами с использованием приложения. Это также требование при публикации через Магазин Windows, где требуется подпись из сертификата, полученного из доверенного центра сертификации.
Эта политика может применяться, даже если для smart App Control задано значение Off. При применении этой политики в выходных данных для citool.exe -lp будет показано VerifiedAndReputableDesktopEvaluationAuditNoISG в качестве имени политики.
Применение политики аудита Smart App Control без ISG
Эта политика предназначена исключительно для тестирования приложений в режиме оценки в соответствии с требованиями подписывания Smart App Control и не разрешает использование двоичных файлов приложений, основанных на облачной аналитике из «Intelligent Security Graph».
Убедитесь, что smart App Control находится в режиме оценки или выключении
Запуск mountvol S: /S из командной строки администратора
скопируйте SmartAppControlAuditNoISG.bin в S:\efi\microsoft\boot\cipolicies\active\{5283AC0F-FFF1-49AE-ADA1-8A933130CAD6}.cip .
Запуск citool.exe -r из командной строки администратора для обновления политики
Проверка журналов событий
Smart App Control регистрирует любой исполняемый файл, который был (или был бы) заблокирован в журналах событий целостности кода. Эти журналы можно найти, открыв Просмотр событий и перейдя к Журналам приложений и служб>Microsoft>Windows>CodeIntegrity>Operational.
Smart App Control регистрирует события режима оценки с идентификатором события 3076 и событиями режима принудительного применения с идентификатором события 3077. Дополнительные сведения о ведении журналов событий Smart App Control и Microsoft Defender см. в разделе «Просмотр журналов событий и кодов ошибок для устранения неполадок с антивирусом Microsoft Defender».
Совместная работа с нами на GitHub
Источник этого содержимого можно найти на GitHub, где также можно создавать и просматривать проблемы и запросы на вытягивание. Дополнительные сведения см. в нашем руководстве для участников.
Windows developer